23/03/2007 11:34 am setup do windows server...

Microsoft TechDays 2007 - Lisboa 23/03/2007 11:34 AM

2007 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1

SRV011

10 Razões para se preparar parao Windows Server “Longhorn”

Nuno [email protected]

System Engineer, VodafoneGUPADE

Pedro [email protected]

System Engineer, VodafoneGUPADE

Patrocinadores

Sistema Operativomais robusto

Gestão por politicas

Mais Controlo Aumento de Protecção

Maior Flexibilidade

Servidor de virtualização integrado

Acesso aplicational de qualquer local

Soluções Web mais extensas

Melhorias na Implementação

Melhorias naautomatização de tarefas

Instalação e gestãobaseada em Roles





Mais Controlo

Maior Flexibilidade

Aumento de Protecção

1. Server Management

2. Windows PowerShell

3. Internet Information Services 7.0

4. Server Hardening

5. Server Core

6. Network Access Protection (NAP)

7. Failover Clustering

8. Implementação em locais remotos

9. Virtualização do Windows Server

10.Novas funcionalidades de Terminal Services

Windows Server 2003Instalação, segurança, e gestão por perfis através de diferentesferramentas

Setup do Windows Server 2003

Pós-Setup das actualizações de Segurança

GUI “Manage Your Server”

GUI “Configure Your Server”

GUI “Add/Remove Windows Components”

GUI “Computer Management”

GUI “Security Configuration Wizard”

Instalação do Produto

Configuração Inicial

Administração

Administração do Windows Server “Longhorn”

Server ManagerProvidencia out-of-the-box uma excelente experiência emadicionar, configurar e gerir os perfis do servidor

1. Experiência “Out of box”

Ajuda o utilizador a completar e operar o servidor guiando-o através das tarefas necessárias

2. Experiência única para configurar o Windows Server “Longhorn”

Ajuda o utilizador a adicionar e remover papeis e funcionalidades do servidor de uma forma segura

3. Portal para Administração

Apresenta o estado do servidor, mostra as tarefas mais importantes e guia-nos para as ferramentas de administração avançadas




Server ManagerUma ferramenta baseada em linha de comando (shell) que facilita o controlo e automatização de tarefas para osAdministradores de Windows

Internet Information Services (IIS) 7.0Maisdo que um servidor Web, o Internet Information Services 7.0 providencia uma forma segura e fácil de gerir o desenvolvimento e alojamento de aplicações Web no servidor

Arquitectura Modular

Ferramentas de Administração integradas e

eficientes

Poderosas funcionalidadesde diagnostico

Extensibilidadedas APIs

Modelo de configuração distribuído

Melhoramentos IIS 7.0 Segurança

Optimizada &

Actualizações

Customizaçãode soluções

Rapidez naimplementação

de soluções

Administradores

e programadores

motivados

Aplicações menos tempo

paradas

IIS 7 Arquitectura Modular

Instale apenas as funcionalidades que precisa

Por defeito são instalados 40 componentes

Superfície de ataque reduzida durante a instalação

Actualize apenas as funcionalidades que tem instaladas

Implemente um “streamlined” Web Server

Melhoria no desempenho

Memoria inicial reduzida

Mais fácil de gerir




IIS 7 Maior Extensibilidade

As funcionalidade do IIS 7 são desenvolvidas em APIs públicas

Encoraja a comunidade a extender, alterar, e adicionar novas funcionalidades

Uma maior integração entre o IIS e o ASP.NET

Os serviços ASP.NET funcionam para todos os tipos de aplicações e conteúdos

Win32 e .NET Framework APIs nativas

Produtividade para o programador que utiliza .NET

Suporte para extensões de terceiros

Estender a configuração, ferramenta de administração, event logging

IIS7 Experiência na Administração

Gestão remota

sobre HTTP

Funcionalidades

do IIS e do ASP.NET são

facilmente

encontradas e usadas

Programadores e donos de sites podem mais facilmente delegar auto-

criação de tarefas

Internet Information Services 7.0


MaisControlo

Maior Flexibilidade





4. Server Hardening

5. Server Core



8. Implementação em locais remotos

9. Virtualização do Windows Server

10.Novas funcionalidades de Terminal Services




D DD

Server Hardening (robustez do servidor)

Defesa do modelo de serviços

Reduz o risco nos níveis mais altos

Segmentação de serviços

Aumento do nº de níveis

Kernel DriversD

D User-mode Drivers

D

D D

Service 1

Service 2

Service 3

Service…

Service …

Service A

Service B

Alteração de serviços no Windows Server “Longhorn”

Windows XP SP2 / Server 2003 R2 Windows Vista /

Windows Server “Longhorn”

Account Services Account Services

LocalSystem Wireless Configuration

System Event

Notification

Network Connections

(netman)

COM+ Event System

NLA

Rasauto

Shell Hardware

Detection

Themes

Telephony

Windows Audio

Error Reporting

Workstation

ICS

RemoteAccess

DHCP Client

W32time

Rasman

browser

6to4

Help and support

Task scheduler

TrkWks

Cryptographic Services

Removable Storage

WMI Perf Adapter

Automatic updates

WMI

App Management

Secondary Logon

BITS

LocalSystem

Firewall Restricted

WMI Perf Adapter

Automatic updates

Secondary Logon

App Management

Wireless Configuration

LocalSystem BITS

Themes

Rasman

TrkWks

Error Reporting

6to4

Task scheduler

RemoteAccess

Rasauto

WMI

Network Service

Fully Restricted

DNS Client

ICS

DHCP Client

browser

Server

W32time

Network Service

Network Restricted

Cryptographic Services

Telephony

PolicyAgent

Nlasvc

Network

Service

DNS Client Local Service

No Network Access

System Event Notification

Network Connections

Shell Hardware Detection

COM+ Event System

Local Service SSDP

WebClient

TCP/IP NetBIOS helper

Remote registry

Local Service

Fully Restricted

Windows Audio

TCP/IP NetBIOS helper

WebClient

SSDP

Event Log

Workstation

Remote registry

Server HardeningProtecção de ficheiros do Sistema Operativo

Valida a integridade do processo de boot

Verifica kernel, HAL e boot-start drivers

Se validação falhar, SO não arranca

Valida a integridade de cada “binary image”

Implementado como file system filter driver

Verifica o hash de cada pagina durante o “load”

Hashes guardados no system catalog ou emcertificados X.509 certificate embebidos no ficheiro

Server HardeningControlo de Instalação de Devices

Possibilidade de bloquear instalação de novos devices

Instalação do servidor e impedir a instalação de novos Devices

Definir excepções baseadas em device class ou device ID

Autorizar instalação de Teclado e Rato, mas mais nenhum device pode ser instalado

Autorizar device IDs específicos

Configurável via Group Policy

Definido ao nível do computer object




Server HardeningWindows Firewall with Advanced Security

Gestão integrada de Firewall e IPsec

Nova ferramenta de gestão – Windows Firewall with Advanced Security MMC snap-in

Mais facil de configurar e gerir as duas tecnologias

Regras de Firewall tornaram-se mais intiligentes

Configurar requesitos de securança, tais como autenticação e encriptação

Especificar Active Directory computerou user groups

Outbound filtering

Enterprise management feature

Politica de protecção simplificada reduzGestão

Windows Firewall with Advanced Security

Server Core Installation OptApenas componentes minimos para redução de manutenção

Uma nova opção de instalação disponível em cada versão “Windows Server”

Disponibiliza um conjunto de funcionalidades “core” do SO

Parte de uma infrastructura completa Windows Server “Longhorn”

Pode ser gerido através de:

Command-line tools Locais e Remotas

Terminal Services (Remoto)

Microsoft Management Console (Remoto)

Server Core

Opção de instalação mínima

Superfície de “ataque” reduzida

Command line interface

Conjunto limitado de server roles

Server Core Server Roles

Server Core

Security, TCP/IP, File Systems, RPC,plus other Core Server Sub-Systems

DNS DHCP File AD

Server

With WinFx, Shell, Tools, etc.

TS IASWeb

ServerSharePoint®

Etc…

Server, Server Roles(for example only)

GUI, CLR, Shell, IE,

Media, OE, etc.




Server Core

Network Access ProtectionComo Funciona

Not policy

compliant

1

RestrictedNetwork

Client requests access to network and presents

current health state1

4If not policy compliant, client is put in a restricted

VLAN and given access to fix up resources to download patches, configurations, signatures (Repeat

1 - 4)

2 DHCP, VPN or Switch/Router relays health status to

Microsoft Network Policy Server (RADIUS)

5 If policy compliant, client is granted full access to corporate

network

MSFT NPS

3

Policy Serverse.g. Patch, AV

Policy

compliant

3 Network Policy Server (NPS) validates against IT-defined

health policy

2

Windows

Client DHCP, VPN

Switch/Router

Fix UpServerse.g. Patch

Corporate Network5

4

NAP - Enforcement Options

Enforcement Healthy Client Unhealthy Client

DHCPFull IP address given, full access

Restricted set of routes

VPN (Microsoft and 3rd Party)

Full access Restricted VLAN

802.1X Full access Restricted VLAN

IPsec

Can communicate with any trusted peer

Healthy peers reject connection requests from unhealthy systems

• Complements layer 2 protection

• Works with existing servers and infrastructure

• Flexible isolation

Beneficios do NAP

Feature Support Benefit

Built-in client Windows Vista, Windows XP • No need to deploy/license 3rd party client

• Updates via WUS / WSUS / SMS

Flexible

enforcement

DHCP, VPN, 802.1x, Terminal

Services, Server and Domain

isolation

• Works with today‟s & tomorrow‟s networks

• Enables risk-benefit trade offs

3rd party

enforcement

All major switch / router /

firewall / VPN

Customers can use any network or security infrastructure

vendor

Health

assessment

SMS, WUS, SecurityCenter,

3rd party

• Seamless integration with Windows infrastructure

• Works with any AV, patch or endpoint security solution

User experience Integrated with Windows

Vista glass. Branding

supported.

Polished look and feel tailored for the customer

environment

Management Integration with SMS, AD,

Group Policy and MOM for

client, server and service

operations

Complete policy based administration and operation




Failover ClusteringSimplicidade / Segurança / Estabilidade

Simplicidade: Não requer elevados níveis de conhecimento e experiência em Clustering

Instalação é simplificada e dinâmica

Criação de um Cluster em um simples passo

Segurança: Melhor gestão das contas de serviço

Serviço de Cluster corre agora no contexto de segurança LocalSystem

Cluster Service Account (CSA) - Removido

Estabilidade: Maior estabilidade e performance

Novo “Resource Hosting Subsystem” (RHS)

Novo modelo de quorum – sem ponto unico de falha

Cluster Setup

Cluster Administrator actual…

Novo Cluster MMC Snap-in Clusters Geográficos

Retirada a limitação a uma única Subnet

Permite que os nós do cluster comuniquem através de network routers

Deixa de ser necessário o uso de VLANs para conectar os vários nós!

Heartbeat Timeouts Configuráveis

Aumentar - para Clusters Geográficos dispersos por várias localizações distantes entre si.

Reduzir - para detectar falhas de uma forma mais rápida e iniciar processo de recuperação e failover mais rápidamente.





Mais Controlo

Maior Flexibilidade





4. Server Hardening

5. Server Core



8. Branch Office Deployments

9. Windows Server Virtualization

10.New Terminal Services Capabilities

Branch Office DeploymentsRead-Only Domain Controller

Read Only Active Directory Database

Replicação Unidireccional

Caching de credenciais

Benefícios do Read Only Domain Controller

Aumento de segurança para DC remotos onde a segurança fisica nao pode ser garantida

Read-Only DCComo Funciona

Hub

`

Read Only DCHub Longhorn DC

Branch

Read Only DC

1

2

3

4

5

6

6

7

7

Note: At this point the user will have a hub signed TGT

Hub Windows Server “Longhorn”

1. AS_Req sent to RODC

(request for TGT)

2. RODC: Looks in DB: "I don't

have the users secrets"

3. Forwards Request to

Windows Server “Longhorn”

DC

4. Windows Server “Longhorn”

DC authenticates request

5. Returns authentication

response and TGT back to

the RODC

6. RODC gives TGT to User and

Queues a replication request

for the secrets

7. Hub DC checks Password

Replication Policy to see if

password can be replicated

Branch Office DeploymentsActive Directory “Reiniciavél”

Reiniciar a Active Directory sem reiniciar o servidor

Pode ser feito através da linha de comando ou MMC

Não é possível iniciar o servidor com a Active Directory parada

Reiniciar a Active Directory não afecta os outros serviços

Várias formas de processar Login enquanto parado

Benefícios da Active Directory “Reiniciavél”

Reduz o tempo necessário para efectuar operações “offline”




Branch Office DeploymentsBitLocker™ Drive Encryption

Ajuda a prevenir o uso de outros Sistemas Operativos ou ferramentas de Hacking para acesso indevido á informação do disco

Maior protecção da informação mesmo quando o sistema está em “mãos alheias”

Usa um TPM v1.2 ouUSB flash drive para guardar as chaves de encriptação

VM 1

“Parent”VM 2

“Child”VM 2

“Child”Virtual

Hard Disks(VHD)

Windows Server Virtualization

Plataforma de

Virtualização e Gestão

Windows Server Virtualization

Application

Guest Operating System

Application

Guest Operating System

VirtualH/W

VirtualH/W

R2

x86/x64 serverIntel VT/AMD

virtualization technology

(32-bit or 64-bit)Windows Hypervisor

VM 1“Parent”

MVS 2005 R2 SP1 scheduled to support in late 2006

Windows Hypervisor will support

High-performance virtualization solution

Delivered in Windows Server 'Longhorn' wave of products

Windows Server 'Longhorn„ Datacenter Edition will allow unlimited virtual instances

Migrate from Microsoft Virtual Server

VM 2“Child”

VM 3“Child”

VM 4“Child”

Parent partition

Child partition

Virtualization stack

Novas Funcionalidades -Terminal Services

Acesso a Aplicações centralizado

Instalação de Aplic.(“virtualização de aplic.”)

Locais Remotos

Acesso Seguro de qualqyer local

Novas funcionalidades

TS Gateway

TS Aplicações Remotas

Autenticação Integrada(managed clients)

Central Location

Mobile WorkerIn Airport

Branch Office

Home Office

http://www.microsoft.com/winlogo/hardware/




DMZInternet Corp LAN

Terminal Server

Hotel

Ext

ern

al F

irew

all

Inte

rnal

Fir

ewal

lHome

Business Partner/

Client Site

E-MailServer

TerminalServer

Internet

Terminal Services

Gateway Server

HTTPS / 443

Terminal Services GatewayAcesso remoto a recursos em servidores internos

Terminal Services Gateway

Maior nível de Segurança

Autenticação com passwords, smartcards

Usa mecanismos de encriptação standard da industria (SSL, HTTPS)

Tráfego RDP é encriptado “end-to-end” – do client ao terminal server

Estado do PC Cliente pode ser validado (usando NAP)

Placas de aceleração SSL podem ser usadas para fazer o “off-load” da sessão SSL. (para detecção de intrusões ou uso de filtros numa DMZ)

Melhor solução comparado com uma VPN

Utilizadores podem aceder a aplicações internas ou computadores internos usando apenas um Web Browser

Facilmente utilizável de um Computador de “casa”

Compatível com firewalls e NATs (com HTTPS:443)

Controlo de Acesso Granular definido na DMZ

Connection Authorization Policy (CAP)

Resource Authorization Policy (RAP)

Terminal Services Remote Programs

Disponibilização de Aplicações simple e rápida

Gestão centralizada de Aplicações da linha de negócio

Forma “leve” de disponibilizar aplicações “data-intensive”

Consolidação de Aplicações

Integra com programas locais

Drag and Drop (Beta 3)

Integração no System Tray

Devices e Ficheiros Locais

Terminal Services Remote Programs




Participe Noutras SessõesGUPADE

SRV014 – Desenho do AD com o Windows Server “Longhorn”

Quinta Feira, 22, 15:15

MGT011 – Tudo o que precisa de saber sobre uma implementação de

sucesso com MOM 2005


SRV013– As novas capacidades do servidor de ficheiros no Windows 2003

R2 e no Windows Server “Longhorn”


UCM008 – Como evitar o SPAM


Pergunte aos EspecialistasObtenha Respostas às Suas Questões

22 Mar, até às 12h

www.gupade.org

Outros RecursosPara Profissionais de TI

TechNet Plus2 incidentes de suporte gratuito profissional

software exclusivo: Capacity Planner

software Microsoft para avaliação

actualizações de segurança e service packs

acesso privilegiado à knowledge base

formação gratuita

e muito mais.

www.microsoft.com/portugal/technet/subscricoes




Questionário de AvaliaçãoPassatempo!

Complete o questionário de avaliação e devolva-o no balcão da recepção.

Habilite-se a ganhar uma Xbox 360 por dia!

SRV011

10 Razões para se preparar para o Windows Server “Longhorn” © 2007 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

23/03/2007 11:34 am setup do windows server...

Documents